iSecure logo
  • pl
  • en
    • Blog

    5 najczęstszych błędów wykrywanych podczas audytów ochrony danych

    Maciej Łukaszewicz
    Kategorie

    WSTĘP

    Audyt RODO w firmie? Tych 5 błędów unikaj jak ognia!

    Audyt ochrony danych osobowych – już samo to sformułowanie u wielu przedsiębiorców wywołuje szybsze bicie serca. Kojarzy się z kontrolą, stresem i szukaniem dziury w całym. A co, jeśli powiemy Ci, że audyt to tak naprawdę Twój najlepszy przyjaciel w dbaniu o bezpieczeństwo firmy? To szansa, żeby spojrzeć na swoje procesy z boku i wyłapać błędy, zanim znajdzie je Prezes Urzędu Ochrony Danych Osobowych (UODO).

    Przez lata pomagaliśmy firmom przechodzić przez audyty RODO. Zauważyliśmy, że pewne błędy powtarzają się z zadziwiającą regularnością, niezależnie od branży czy wielkości organizacji. Dziś dzielimy się listą 5 najczęstszych potknięć. Sprawdź, czy nie dotyczą one także Twojej organizacji!

    1. Dokumentacja? Jaka dokumentacja?

    To absolutny klasyk. Pytamy w firmie o dokumentację ochrony danych, a w odpowiedzi zapada niezręczna cisza. Brak Polityki Bezpieczeństwa, brak Rejestru Czynności Przetwarzania, brak procedur… Krótko mówiąc: dokumentacyjny Dziki Zachód.

    • Dlaczego to błąd? RODO wprost wymaga posiadania i prowadzenia określonej dokumentacji. To nie jest „papierek dla papierka”, ale mapa Twoich danych. Pokazuje, jakie dane zbierasz, po co to robisz, gdzie je trzymasz i jak je chronisz. Bez niej działasz po omacku i nie jesteś w stanie udowodnić, że spełniasz obowiązki. To też jedno z pierwszych pytań, które Prezes Urzędu Ochrony Danych Osobowych zada podczas ewentualnej kontroli.
    • Jak to naprawić? Zacznij od podstaw: stwórz Rejestr Czynności Przetwarzania. To fundament. Opisz w nim kluczowe procesy w firmie, np. rekrutację, obsługę klientów czy wysyłkę newslettera. Potem stopniowo buduj resztę dokumentacji. W pierwszej kolejności to Polityka Ochrony Danych Osobowych. firmowa „konstytucja” określająca, kto jest odpowiedzialny za dane i jakie są ogólne zasady ich ochrony. Równie ważne są szczegółowe instrukcje, czyli procedury, które krok po kroku wyjaśniają, jak postępować w konkretnych sytuacjach – na przykład, co robić, gdy klient zażąda usunięcia swoich danych lub gdy pracownik zgubi służbowy laptop. Niezbędne jest również prowadzenie dodatkowych ewidencji, takich jak rejestr osób upoważnionych do przetwarzania danych, rejestr naruszeń. Nie można zapomnieć o proaktywnym podejściu, czyli przeprowadzeniu analizy ryzyka, aby zidentyfikować potencjalne zagrożenia dla danych i zaplanować, jak im przeciwdziałać. W tej kategorii mieszczą się również absolutnie kluczowe procedury IT, które stanowią techniczny kręgosłup bezpieczeństwa: od zarządzania dostępami (czyli jak sprawnie nadawać i odbierać uprawnienia pracownikom), przez tworzenie i odtwarzanie kopii zapasowych (backupów), politykę silnych haseł, aż po procedury aktualizacji oprogramowania i bezpiecznego usuwania danych z wycofywanych komputerów. Bez tych technicznych wytycznych nawet najlepsze zapisy ogólne pozostaną tylko na papierze. Całość uzupełniają klauzule informacyjne – przejrzyste komunikaty umieszczane wszędzie tam, gdzie zbierasz dane, np. na stronie internetowej czy w formularzach rekrutacyjnych, które informują ludzi o ich prawach i celach przetwarzania.

     

    1. Pracownik (nie)przeszkolony, czyli najsłabsze ogniwo

    Możesz mieć najlepsze systemy, najdroższe oprogramowanie antywirusowe i szafy pancerne na dokumenty. Wystarczy jednak jeden nieświadomy pracownik, który kliknie w podejrzany link, wyniesie z firmy pendrive z danymi klientów albo zostawi na biurku niezablokowany komputer lub wyśle zbiorczego maila do wielu odbiorców bez funkcji UDW.

    • Dlaczego to błąd? Człowiek jest i zawsze będzie kluczowym elementem systemu bezpieczeństwa. Brak regularnych, praktycznych szkoleń z ochrony danych to proszenie się o kłopoty. Audytorzy od razu to wyłapią, pytając pracowników o podstawowe zasady, np. politykę czystego biurka.
    • Jak to naprawić? Organizuj szkolenia! Nie raz na trzy lata, ale regularnie. Mów prostym językiem, używaj przykładów z życia i testuj wiedzę. Pokaż, że hasło „Firma123!” to zły pomysł, a na maile od „nieznanych nadawców lub z podejrzanymi linkami” się nie odpowiada.

     

    1. „Zaprzyjaźniona” księgowość i inne demony, czyli brak umów powierzenia

    „Księgowość prowadzi nam zaprzyjaźniona firma pani Kasi, znamy się od lat”. To świetnie, ale czy pani Kasia ma z Tobą podpisaną umowę powierzenia przetwarzania danych? A co z firmą od hostingu, agencją marketingową czy dostawcą oprogramowania do faktur?

    • Dlaczego to błąd? Jeśli jakikolwiek podmiot zewnętrzny ma dostęp do danych osobowych, za które odpowiadasz (np. dane pracowników, klientów), musisz mieć z nim podpisaną umowę powierzenia przetwarzania danych. To ona reguluje, co ten podmiot może robić z danymi i jak ma je chronić. Bez niej to Ty ponosisz pełną odpowiedzialność za jego ewentualne wpadki. Dodatkowo, musisz udokumentować weryfikację kontrahenta pod kątem jego zgodności z przepisami RODO. Powinieneś współpracować wyłącznie z podmiotami gwarantującymi przetwarzanie powierzonych danych osobowych zgodnie z obowiązkami wynikającymi z Rozporządzenia.
    • Jak to naprawić? Zrób listę swoich dostawców i partnerów. Sprawdź, którzy z nich mają dostęp do danych. Upewnij się, że z każdym z nich masz podpisaną poprawną umowę powierzenia. Skonsultuj to z Działem Prawnym lub audytorem.

     

    1. Komputer prezesa na hasło „admin1” i inne grzechy techniczne

    Audyt to nie tylko dokumenty, ale też szybki rzut oka na codzienne praktyki. Co widzi audytor? Komputery bez haseł, karteczki z hasłami przyklejone do monitorów, dokumenty z danymi leżące na wierzchu w ogólnodostępnym miejscu, brak aktualnego oprogramowania antywirusowego.

    • Dlaczego to błąd? RODO wymaga wdrożenia „odpowiednich środków technicznych i organizacyjnych”, aby zapewnić bezpieczeństwo danych. Hasło „123456” takim środkiem na pewno nie jest. To podstawowa higiena cyfrowa, której brak jest sygnałem, że w firmie nikt nie traktuje bezpieczeństwa poważnie.
    • Jak to naprawić? Wprowadź politykę silnych haseł. Wymuś automatyczne blokowanie ekranu po kilku minutach bezczynności. Szyfruj dyski w laptopach. Upewnij się, że antywirus jest aktualny, a systemy regularnie aktualizowane. To proste kroki, które ogromnie podnoszą poziom bezpieczeństwa.

     

    1. „Chcę usunąć swoje dane!” – czyli panika w dziale obsługi klienta

    Dzwoni klient i mówi, że na podstawie RODO żąda usunięcia wszystkich swoich danych. Co robi pracownik? Najczęściej wpada w panikę, bo nie wie, co ma zrobić, do kogo to przekazać i czy w ogóle może to zrobić.

    • Dlaczego to błąd? Każda osoba, której dane przetwarzasz, ma określone prawa: prawo do dostępu do danych, ich sprostowania, usunięcia („prawo do bycia zapomnianym”) itd. Twoja firma musi być gotowa, aby te prawa zrealizować w ustawowym terminie (zazwyczaj miesiąc). Ignorowanie takich żądań to prosta droga do skargi do UODO.
    • Jak to naprawić? Stwórz prostą ścieżkę postępowania na wypadek otrzymania takiego żądania. Każdy pracownik mający kontakt z klientem musi wiedzieć, co robić i komu natychmiast przekazać sprawę. Dodaj do polityki ochrony danych osobowych procedurę obsługi wniosków podmiotów danych.

     

    Audyt to nie koniec świata!

    Jak widzisz, większość audytowych wpadek nie wynika ze złej woli, ale z przeoczenia i braku świadomości. Dobra wiadomość jest taka, że wszystkie te błędy da się stosunkowo prosto naprawić.

    Zastanów się też, czy w Twojej organizacji nie jest wymagane lub po prostu przydatne powołanie Inspektora Ochrony Danych, który będzie stał na straży całego systemu.

    Pamiętaj, że to nie jest tworzenie dokumentów dla samych dokumentów. To budowanie realnego systemu bezpieczeństwa. Traktuj ochronę danych nie jak przykry obowiązek, ale jak inwestycję w zaufanie klientów i stabilność Twojego biznesu. Zaufanie to dziś jedna z najcenniejszych walut.

    Pobierz wpis w wersji pdf
    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Marcin Stryszko

    Które kraje zapewniają odpowiedni stopień ochrony danych?

    Inspektorzy Ochrony Danych w codziennej pracy są wyczuleni na pewne sytuacje, przy których należy się zatrzymać i zwrócić na nie szczególną uwagę. Alarmujące jest, gdy hasło do załącznika znajduje się w treści tej samej wiadomości lub jest niezwykle proste (np. „987654”). Jesteśmy wyczuleni na klauzule zgody, zwłaszcza w sytuacjach, gdy zgoda nie jest prawidłową podstawą […]

    Czytaj więcej
    RODO krok po kroku – część 4: kary finansowe i odpowiedzialność administratora danych
    Agnieszka Rapcewicz

    Pierwsze w UE zadośćuczynienie za niezgodne z prawem przetwarzanie danych osobowych

    Jak podaje portal https://digital.freshfields.com/post/102fth1/can-i-claim-damages-for-hurt-feelings-under-gdpr-an-austrian-court-says-yes austriacki sąd – jako pierwszy w Europie – zasądził zadośćuczynienie za krzywdę doznaną przez osobę fizyczną wskutek niezgodnego z prawem przetwarzania jej danych osobowych. Zasądzona kwota wydaje się na pierwszy rzut oka niewielka – 800 euro (powód domagał się 2 500 euro). Co jednak ciekawe, omawiana sprawa stanowi pokłosie kary pieniężnej nałożonej […]

    Czytaj więcej
    Dokładnie przeczytaj regulamin. Nie akceptuj, jeśli nie rozumiesz
    Katarzyna Ułasiuk-Delamare

    Zmiana celu przetwarzania danych osobowych na gruncie RODO

    Autor tekstu: Aleksandra Eluszkiewicz Przetwarzanie danych osobowych na gruncie RODO rządzi się swoimi prawami i powinno odbywać się w oparciu o zasady w nim określone. Jedną z naczelnych zasad jest zasada ograniczenia celu, według której dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi […]

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki